MacOS 11 : la notarisation bloquait les apps, Apple réagit

👨 Medhi Naitmazi
Il y a 4 ans
💬 3 coms

macOS

Apple a connu un lancement compliqué pour MacOS 11 Big Sur avec des surcharges serveurs qui ont empêché l’installation et même par la suite le lancement de certaines applications. La raison, outre le grand nombre d’utilisateurs le jeudi soir, c’est que les applications tierces non issues du Mac App Store requièrent une vérification auprès des serveurs du constructeur pour s’assurer que cela ne présente aucun risque. La firme appelle cela la notarisation et elle nécessite un accès aux services en ligne.

Des accusations contre Apple

Après cet incident, plusieurs experts ont examiné le comportement de MacOS et notamment OCSP, le service d’Apple en rapport avec la notarisation.

Selon le chercheur en sécurité Jeffrey Paul, les serveurs d’Apple collectent la liste des applications et envoie le tout de manière non chiffrée. C’est en effet par protocole HTTP et non pas en HTTPS que les données transitent. Mais il y a aussi une histoire de traçage d’IP qui ne plait pas, tout comme le passage par les serveurs d’Akamai, le fournisseur CDN d’Apple.

En revanche, un autre chercheur contredit quelque peu Paul. En effet, Jacopo Jannone explique que le passage en HTTP sur cette partie est obligatoire pour ne pas finir dans une boucle infinie.

Si vous avez utilisé HTTPS pour vérifier un certificat avec OCSP, vous devez également vérifier le certificat pour la connexion HTTPS à l'aide d'OCSP. Cela impliquerait d'ouvrir une autre connexion HTTPS et ce serait sans fin.

Apple répond sur la confidentialité de macOS

Apple n’a pas tardé à reprendre la main en mettant à jour sa documentation en ligne et notamment Gatekeeper de macOS qui vérifie en ligne chaque application qui doit être lancée. Si un malware ou un certificat développeur révoqué est détecté, macOS empêche le lancement de l’application. Et si le service ne répond pas, en cas de surcharge par exemple, c’est la même chose. Voilà pourquoi MacOS 11 et même Catalina n’ouvraient pas les apps tierces.

La firme a profité de ce document pour détailler le processus :

macOS a été conçu pour protéger les utilisateurs et leurs données tout en respectant leur vie privée.
Gatekeeper effectue des vérifications en ligne pour vérifier si une application contient des logiciels malveillants connus et si le certificat de signature du développeur est révoqué. Nous n'avons jamais combiné les données de ces contrôles avec des informations sur les utilisateurs Apple ou leurs appareils.

Nous n’avons jamais combiné les données issues de ces contrôles avec des informations sur les utilisateurs d’Apple ou leurs appareils. Nous n’utilisons pas les données issues de ces contrôles pour savoir ce que les utilisateurs lancent ou font fonctionner sur leurs appareils.

La notarisation vérifie si l’application contient des logiciels malveillants connus en utilisant une connexion chiffrée qui est résistante aux défaillances du serveur.

Ces contrôles de sécurité n’ont jamais inclus l’identifiant Apple de l’utilisateur ni l’identité de son appareil. Pour mieux protéger la vie privée, nous avons cessé d’enregistrer les adresses IP associées aux contrôles de certificats d’identification des développeurs, et nous veillerons à ce que toute adresse IP collectée soit retirée des logs.

Apple va améliorer macOS 11 en 2021

Enfin, Apple annonce quelques changements pour MacOS 11 en 2021 avec :

Un nouveau protocole chiffré pour les contrôles de révocation des certificats d’identification des développeurs
De solides protections contre les pannes de serveurs
Un nouveau réglage pour que les utilisateurs puissent désactiver ces protections de sécurité